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@ Einheit zur Sicherheitsuberwachung von Steuerungseinrichtungen 

@ Einheit zur Sicherheitsuberwachung von Steuerungs- 
~ einrichtungen, bei denen Speicherprogrammierbare 
Steuerungen oder Mikrorechner uber ein Bus- System de- 
zentrale Einheiten ansprechen, die einen Prozess sowohl 
im sicherheitsrelevanten als auch im nichtsicherheitsrele- 
vanten Bereich regeln, steuern oder uberwachen dadurch Bus-system ;3) 

gekennzeichnet, dass zur Realisierung der Sicherheitsan- 
forderung die Uberwachungseinheit (2) hinzugefugt wird, 
die entweder ausschlie&lich oder vorwiegend die sicher- 
heitsbehafteten Funktionen des Prozesses (12) mit der 
notwendigen Logik zur Uberwachung gefahrbringender 
Ablaufe oder Bewegungen (13) hinzugefugt wird, die 
selbst nur uber das Bus- System (3), welches als Standard 
erhalten bleibt und keinerlei Zusatzfunktion bedarf, eine 
Horer-Funktion erhalt und damit zusatzlich zum Gesamt- 
prozess adaptierbar ist, diese mit sichorheitsgcrichteten 
dezentralen Einheiten (7 f 9) kommuniziert und parallel 
zum Gesamtprozess alle Sicherheitsfunktionen uber- 

3 wacht und nur im Fehlerfall uber die dezentralen Einhei- 
ten (7, 9) oder sonstigen Sicherheitseinrichtungen den si- 

? cheren Maschinen- bzw. Anlagenzustand herbeifuhrt. 
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Beschreibung (298 24 256.7) 



Es wird eine Einheit beschrieben, die uber ein sicherheitsgerichtetes Bussystem mit 
dezentralen Komponenten kommuniziert und dabei sowohl den sicheren 
Datenverkehr als auch die Sicherheitsfunktionen uberwacht. 

Die hier vorgeschlagene Einheit ist in der Lage, die Steuerungseinrichtung und die 
.Sicherheitsfunktion vollkommen zu trennen. Mit der Einheit wird es moglich, den 
Steuerungsteil vollstandig vorher aufzubauen, zu testen und in Betrieb zu nehmen. 
Die sicherheitsrelevanten Komponenten lassen sich dann nachtraglich hinzufugen, 
ohne die Steuerungsfunktion zu andern. Auch nach der Installation beider Systeme 
(Steuerungseinrichtung und Sicherheitssystem) lassen sich Steuerungsfuhktionen 
andern, hinzufugen oder heraustrennen, ohne dass die Sicherheitsfunktion davon 
betroffen ist. Insbesondere besteht die Moglichkeit, alle Sicherheitsverknupfungen im 
einzelnen unabhangig zu prufen. 

Diese Aufgabe wird erfindungsgemaR durch die kennzeichnenden Merkmale des 
Anspruchs 1 gelost, wahrend die weiteren Anspruche (2-10) vorteilhafte 
Auspragungen der beschriebenen Einheit darstellen. 

In Fig. 1 ist die Funktionsweise der zu Grunde liegenden Einheit dargestellt. 
Hierbei besteht das Automatisierungssystem aus einer Steuerung, einem Bus- 
System und mehreren dezentralen Komponenten, die den Prozess steuern oder 
uberwachen. Damit stellt die Fig. 1 eine typische Einrichtung dar, die (ohne die grau 
hinterlegten Komponenten) fur alle nichtsicherheitsrelevanten Systeme geeignet 
sind. Die Anordnung entspricht dem heutigen Stand der Technik. 

Im Detail steuert oder regelt die Steuerung (1) den gewunschten Prozess. Uber das 
angeschlossene Bus-System (3) holtsie Daten vom Prozess (11,12) oder gibtsie 
Daten zum Prozess aus. Die dezentralen Einheiten (4-10) empfangen alle Daten vom 
Bus-System (3) oder stellen dem Prozess (11,12) ihre Daten zur Verfugung. Damit 
sind die dezentralen Einheiten nur vorgelagerte Ein-/Ausgabe-Baugruppen, die ohne 
ein Bus-System als Peripheriebaugruppen in der Speicherprogrammierbaren 
Steuerung zu finden sind. 

Die Steuerung (1) enthalt ein Programm (Software) das alle 

nichtsicherheitsrelevanten Vorgange steuert oder regelt. Ferner enthalt sie bereits in 
ihrem Programm auch die logischen Funktionen fur die Sicherheitsverknupfungen, 
die fur sicherheitsrelevante Vorgange notwendig sind. So enthalt beispielsweise der 
Prozess (1 1) keine aber der Prozess (12) sicherheitsrelevante Vorgange bei denen 
Bewegungen erfolgen, die eine Gefahrfur Mensch oder Maschine darstellen (13). 
Obwohl die Steuerung (1) die notwendige Logik fur die Sicherheitsanforderung 
enthalt, kann sie im Fehlerfall nicht einwandfrei reagieren, da entweder sie selbst 
oder eine ihrer dezentralen Einheiten fehlerbehaftet sein kann, diese aber nicht 
kontrolliert werden. Das Steuerungssystem ist damit nicht in der Lage, einen Fehler 
abzuwehren, da jegliche Fehlererkennung fehlt. 

Entsprechend der Aufgabe der Anmeldung nach Anspruch 1 werden zur Erreichung 
der sicheren Fehlererkennung und zur Prozessabschaltung die grau hinterlegten 
Komponenten hinzugefugt. 

Die Uberwachungseinheit (2) wird in der Funktion eines Horers (Listener) an den Bus 
angeschlossen. Sie braucHt damit nicht von der Steuerung beriicksichtigt zu werden, 
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da sie nur passiv sich der Datfn des Bus-Systems (3) bedient. Die , 
Qberwachungseinheit (2) ist uber - die auf dem Bus laufenden Daten - uber alle 
Zustande und Ablaufe im Prozess und insbesondere uber die Zustande der 
ProzessgroBen informiert 

Im Prinzip ist sie damit in der Lage, die sicherheitsrelevanten Zustande zu 
uberprufen. Zur Bewaltigung dieser Aufgabe enthalt sie ein einfaches Programm das 
nur die Sicherheitsfunktionen als Logik uberwacht (z.B.: Gitterkontrolle, 
Anlaufuberwachung, Endschaltertest, usw.). Im Fehlerfall der Steuerung (1) kann 
damit die Qberwachungseinheit (2) geeignete MaSnahmen ergreifen. 
Diese Fehlererkennung funktioniert jedoch nur dann, wenn die Steuerungseinheit (1) 
als Verursacher fungiert. Fehler in den dezentralen Einheiten oder im Prozess 
werden von beiden Einheiten (Steuerungseinheit (1) oder Qberwachungseinheit (2)) 
nicht registriert 

Eine vollstandige Kontrolle gelingt daher nur mittels spezieller dezentraler Einheiten, 
die ihre eigene Funktion oder sogar die Sensorik im redundant Prozess abfragen. 
Entsprechend des Anspruchs 1 gehoren zur optimalen Funktion dieser Einheit auch 
dezentrale Einheiten, die selbst Sicherheitsanforderungen genugen. Hierzu gehort 
insbesondere die Uberwachung der eigenen Funktion und die 
Sicherheitsabschaltung im Fehlerfall (bei Ausfall des Bus-Systems (3) oder bei N 
fehlerhaften Ein- oder Ausgabe). 

Die Qberwachungseinheit (2) erkennt somit eindeutig einen Fehler, sofern er im 
sicherheitsrelevanten Programm als Logik hinterlegt ist. Es bleibt der speziellen 
Projektierung uberlassen, in welcher Form eine geeignete Sicherheitsabschaltung 
erfolgt. Im einfachsten Fall kann die Qberwachungseinheit (2) das Bus-System (3) 
unterbrechen oder kurzschlie&en. Damit unterbindet sie die Datenubertragung und 
die dezentralen Einheiten (7, 9) fallen in einen sicheren Zustand. Denkbar ist aber 
auch ein gezieltes Abschalten der Stromversorgung, der entsprechenden 
Ausgabeeinheit oder ein langsames Herunterfahren des Prozessablaufs. 
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Schutzanspruche (298 24 256.7) 
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unabhangigen Programmier- und Parametriersprache in ihren 
Sicherheitsfunktionen generiert werden. 
10. Einheit nach den Anspruchen 1 bis 9, dadurch gekennzeichnet, dass die 

Uberwachungseinheit (2) neben der Uberwachungsfunktion auch die Bedienung 
und Programmierung mittels eines integrierten Mensch-Maschinen-lnterfaces 
erlaubt. 
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